Google Project Shield如何抵禦DDoS攻擊？這個案例可以初探端倪

對安全專家Brian Krebs來說，去年9月的第三個星期可以算是一段暗無天日的時光，大量持續不斷的DoS攻擊波湧向其個人網站

KrebsOnSecurity

，峰值攻擊曾流量超過每秒 620Gbps，最終，CDN服務商Akamai也無防護之計可施，選擇將Krebs網站下線。

然而，僅在三天之後，KrebsOnSecurity就在谷歌Project Shield（護盾項目）的保護下，

正常上線「重生」了。今天就讓我們隨著FreeBuf來一起了解下谷歌Project Shield的這樁「壯舉」。

Project Shield是谷歌最早在2013年推出的，保護第三方網站的免費抗D服務，它利用谷歌基礎設施技術來重定向和緩解DDoS攻擊流量，以抵禦各類DDoS攻擊。

Project Shield保護網站主要為那些沒專業能力部署安全防護的體量較小網站，並優先為記者、媒體、選舉和人權相關網站提供保護。（更多詳情參考Project Shield官網）

據谷歌安全工程師Damian Menscher在最近的Enigma安全會議上透露，在Krebs向Project Shield提出網站保護請求之後，谷歌安全團隊經過一番風險權衡後同意了這項服務。Menscher回憶了當時團隊的討論情景：

「如果這些殭屍網路對google.com發起攻擊後果將會怎樣？會讓我們的努力白費嗎？這種可能不能完全排除。

但如果類似的攻擊可以擊潰我們，那麼任何時候它對我們來說都是一種潛在風險，所以，從這個角度上來說，我們不存在任何損失，應該積極去應對。」

經過一個小時的討論後，Menscher的團隊迅速達成了幫助Krebs的決定。然而，前期卻經歷了冗長的流程。

首先一點就是，網站所有人必須證明其對網站的控制權，而此時Krebs網站正處於下線狀態，而且域名管理系統為防止域名劫持攻擊，把其域名（krebsonsecurity.com）又設置為鎖定狀態。

最終，當Project Shield為KrebsOnSecurity提供上線保護之後的14分鐘，新一輪DDoS攻擊開始了。

第一波攻擊是足可以癱瘓大量網站的每秒1億3000萬的SYN洪水包，但面對谷歌的基礎設施，這算是九牛一毛；一分鐘後，攻擊強度增加，來自145,000個不同IP發起了每秒250,000次HTTP請求，毫無疑問，這是Mirai殭屍網路的特徵。

隨後，攻擊者以多種方式發起了攻擊，包括140Gbps的DNS放大攻擊和每秒400萬syn-ack包的syn-acka洪水攻擊。

在攻擊開始後的第四個小時，KrebsOnSecurity經歷了更強的攻擊流量，175,000個不同IP發起了每秒450,000次HTTP請求，好在有Project Shield的保護，這也沒能對KrebsOnSecurity造成直接影響。

攻擊在開始的兩個星期最為強烈，隨後，攻擊者加入了一系列新型攻擊技術，包括一種名為WordPress pingback的攻擊，該攻擊會發起對目標網站的大量內容請求，導致網站癱瘓。

由於該攻擊方式的每個內容請求包內，包含了一個帶有「WordPress pingback」的用戶代理廣播欄位，所以，Google有效地對這些請求作出了阻止。另外的Cache-Busting攻擊也同樣被Project Shield成功阻擋。

WordPress的Pingback功能中文解釋是「引用」，當你的文章有引用別人的內容時（通常內容里有加上對方的超鏈接），一旦文章發表後，就會自動啟動Pingback功能，這功能會發送一個Ping給對方，會以評論的方式呈現。

WordPress的pingback服務可被DDoS攻擊利用，這個漏洞早有披露，但至今仍有大量網站存在此問題。由於這種DDoS攻擊中流量來自數千個不同IP，基於網路的防火牆也無法識別和攔截，只能限制每個IP地址的訪問頻率。

即使在今天，對KrebsOnSecurity網站的DDoS攻擊也依然存在，最壞的結果只是引起一些短暫的中斷，並沒有導致長時間的宕機下線。Menscher同時也把此次事件的經驗向會議觀眾作了分享：

由於我在谷歌的多年一直是致力於保護大型網站系統的安全運行，成千上萬次的查詢請求或攻擊對谷歌來說影響非常微小，然而，突然面對一個小型網站的保護，我顯得有點措手不及。

由於Krebs的網站原先最多只能承受每秒20次的請求，但這次攻擊峰值卻達到了每秒450,000次請求。面對這種情況，作為安全工程師的你會怎麼處理？這確實有點棘手。

但首先你可以識別和限制攻擊流量，然後通過緩存分散正常流量，這樣一方面可以給伺服器減負，另外在伺服器出現故障時，還能為瀏覽用戶正常提供緩存內容，形成一個暫時的「在線」狀態。

當問道在DDoS防護商Akamai宣布停止為KrebsOnSecurity提供無償保護之後，為什麼Google願意免費提供這項網站保護服務？Menscher給出了解釋：

「我們暫且不提規模經濟方面的考慮。因為谷歌具備很多方面的技術實力，通過這些技術基礎設施的共同發揮，完全有能力構建一個有效DDoS後備防禦體系。

我想Akamai也希望具備這樣的能力，但在同一時間兩次強大的DoS攻擊面前，攻擊者發起的各種類型的攻擊佔了上風，轉而慢慢蠶食了他們的防禦能力。」

對Menscher來說，最終的體會是，像Google這樣運行著至關重要的業務，一年離線狀態不會超過5分鐘的公司，有必要作出一些冒險和挑戰的嘗試。

他進一步解釋，「我是一個唯物論者，在現實中我們總嘗試去分辨世界是如何運轉的，但基於此，我們必須有正確的問題導向，必須去做一些調查研究，也必須主動去質疑一些假設。

這種道理與DDoS防禦是相似的，我們不能總看到眼前的攻擊，還需更加積極、更加冒險地去應對或挑戰一些未知的攻擊。」

*參考來源：

arstechnica

，FB小編clouds編譯，轉載請註明來自FreeBuf.COM